Abilitare SAML per SSO

SAML è uno standard aperto per la firma singola su browser web. Utilizzando SAML, un service provider richiede a un identity provider (un terzo) di autenticare e fornire informazioni su un utente.

Questo viene avviato in due modi diversi. In uno, la nostra soluzione avvia l'accesso. Nell'altro, è l'identity provider che avvia l'accesso. Configura SAML nelle impostazioni della nostra soluzione, Sessioni e Sicurezza.

Metadata del Service Provider SAML della nostra soluzione

La tabella seguente contiene i metadata che devi conoscere quando configuri la nostra soluzione con un identity provider.

Metadata	Utilizzo
Service Provider (SP) Entity ID
Identity Provider (IDP) Entity ID	Example: https://sso.jumpcloud.com
Assertion Consumer Service (ACS)
ACS binding:	- [x] HTTP-POST - [ ] HTTP-REDIRECT
Single Logout Service (SLS) url:	Il Single Logout non è attualmente supportato
SLS binding:	N/A
NameID format:	"indirizzo email" se l'indirizzo email è selezionato come formato NameID nelle impostazioni, altrimenti "non specificato"
AuthN request binding:	- [ ] HTTP-POST - [x] HTTP-REDIRECT
AuthN requests signed:	Configurabile nelle impostazioni SAML della nostra soluzione.
AuthN requests encrypted:	No
Certificato di firma:	Configurabile nelle impostazioni SAML della nostra soluzione.
Assertions encrypted:	Le assertions criptate non sono attualmente supportate.

Importante! Un accesso riuscito con SAML richiede un utente che corrisponda al nome utente o all'indirizzo email di NameID che esiste già. La nostra soluzione non supporta il provisioning Just-in-Time (JIT). SAML è disponibile per gli utenti aggiunti dalla sincronizzazione dei servizi di directory così come per quelli aggiunti manualmente.

Per abilitare SAML per SSO:

Dalla scheda Sessioni e Sicurezza, clicca su > per espandere AUTENTICAZIONE.
Sotto Autenticazione SAML, attiva l'interruttore per abilitare l'Autenticazione SAML.
Successivamente, clicca su Impostazioni SAML.
Su Autenticazione SAML, identifica il Formato Name ID. Seleziona dal menu a discesa. Hai due opzioni per gli utenti che accedono alla soluzione, il nome utente o l'indirizzo email.

Questa impostazione determina come la nostra soluzione interpreta il Name ID inviato nella risposta SAML e lo abbina ad un utente.

Importante! I processi SAML della nostra soluzione SOAR fanno distinzione tra maiuscole e minuscole per gli indirizzi email. Assicurati che l'indirizzo email per l'utente della nostra soluzione corrisponda all'indirizzo email nella risposta SAML! È importante notare, tuttavia, che il matching del nome utente non fa distinzione tra maiuscole e minuscole.

Successivamente, completa i seguenti campi obbligatori:
URL SSO
Identity Provider Entity ID
Service Provider Entity ID
Specifica se verificare la firma dell'identity provider o se consentire firme non valide con l'interruttore Verifica la firma dell'identity provider e successivamente carica il certificato.
Importante! è consigliato vivamente di abilitare questa opzione SAML e caricare il certificato del tuo identity provider per garantire che la soluzione stia comunicando con l'identity provider previsto.
Altrettanto importante! Il certificato che carichi in questo passaggio deve essere un certificato PEM (Privacy Enhanced Mail).
Se il tuo fornitore SSO calcola la firma della risposta SAML con spazi bianchi non significativi, seleziona l'interruttore Preserva gli spazi bianchi nella risposta SAML.
Per forzare un accesso tramite un provider di single sign-on, abilita l'interruttore FORZA SSO.
Per forzare questo accesso per singoli utenti, abilita Esenta FORZA SSO sull'account utente individuale. Gli amministratori dell'account sono esenti da questo accesso forzato per impostazione predefinita.
Per imporre il login tramite un provider di single-sign-on, attivare la levetta Force SSO.
Per imporre il login ai singoli utenti, attivare l'opzione Esonero da Force SSO sull'account del singolo utente. Gli amministratori degli account sono esenti da questo login forzato per impostazione predefinita.